Risk
Risk
Holland Casino opereert in een dynamische omgeving die zowel relevante kansen als risico’s met zich meebrengt. Een gebalanceerde risicomanagementbenadering is nodig om de kans te optimaliseren dat Holland Casino zijn strategische doelstellingen realiseert en effectief invulling geeft aan zijn maatschappelijke verantwoordelijkheid. Op diverse risicogebieden was 2025 een uitdagend jaar voor Holland Casino.
Druk op financiële stabiliteit door belastingdruk en toegenomen kosten
In 2025 is de kansspelbelasting verhoogd naar 34,2%. In 2026 stijgt deze belasting verder naar 37,8%. Tegelijkertijd heeft Holland Casino te maken met een algehele verhoging van het kostenprofiel, onder andere door de arbeidskosten. De verhoogde kosten vormen een bedreiging voor onze winstgevendheid en onze maatschappelijke opdracht om veilig en verantwoord spelen te faciliteren. Daarom hebben we in 2025 vele maatregelen getroffen, zoals elders in het jaarverslag is vastgelegd.
Verder toegenomen druk rondom witwassen en zorgplicht
Nationale en internationale regelgeving worden steeds strenger, gedetailleerder en specifieker en de KSA wordt als toezichthouder steeds actiever. Uiteraard beweegt Holland Casino daar als staatsdeelneming vanuit zijn maatschappelijke functie effectief in mee. We geven hier blijvend planmatig en budgettair prioriteit aan. Intern vraagt dit om bewuste en actieve en gebalanceerde besluitvorming over onze strategische, tactische en operationele doelstellingen op het gebied van commercie, innovatie en efficiency.
Door een gebalanceerde benadering van risico’s waarborgt Holland Casino zowel zijn maatschappelijke verantwoordelijkheid als de realisatie van strategische doelstellingen.
Marktrisico’s van onlineactiviteiten
HC Online wordt geconfronteerd met toegenomen concurrentie en outflow van omzet naar buitenlandse en illegale aanbieders. Uit cijfers blijkt dat illegale aanbieders op dit moment meer omzet genereren dan legale aanbieders. Marktverschuivingen bedreigen de omzet voor Holland Casino Online en zorgen voor uitdagingen in klantbinding en digitale innovatie.
Verhoogde kans op reputatierisico
Verscherping in de publieke opinie, media-aandacht en politieke heroriëntatie op kansspelaanbieders beïnvloeden het risicoprofiel van Holland Casino op reputatierisico. Het publiek vraagt zich af of kansspelaanbieders als Holland Casino hun zorgplichtfunctie voldoende effectief invullen. Kamervragen richten zich actief op het voorkomen van gokverslaving bij jongeren, op het beperken van reclames en de stortingslimieten gelinkt aan draagkrachttoetsen. Dit kan leiden tot strengere regelgeving, verminderde publieke steun en moeilijkheden in vergunningverlening.
Keerzijde digitalisering
Verdergaande digitalisering biedt mogelijkheden tot efficiency en verbetering van de klantbeleving, maar maakt Holland Casino ook kwetsbaarder voor cyber- en IT-risico’s. In deze tijd is het cruciaal om gerichte investeringen te blijven doen in DDoS-bescherming, phishing-campagnes, redundante IT-infrastructuur en doelmatige incidentrespons. Alleen zo kunnen we effectief risicomanifestatie voorkomen en snel handelen als kwetsbaarheden zich openbaren.
Deze ontwikkelingen benadrukken hoe belangrijk een robuuste, consistente en organisatiebrede aanpak van risicomanagement is met een aanpak waarin inzicht, eigenaarschap en aantoonbare beheersing centraal staan. Elk risicodomein heeft immers directe invloed op de financiële gezondheid, maatschappelijke legitimiteit en toekomstbestendigheid van Holland Casino.
Aanpak risicomanagement
Het risicomanagement van Holland Casino is afgestemd op onze missie, kernwaarden, strategie, kansen en doelstellingen. Daarbij wordt rekening gehouden met de risicobereidheid van de organisatie en de verwachtingen van gasten, toezichthouders en andere belanghebbenden. We hebben risicomanagement geïntegreerd in onze dagelijkse bedrijfsvoering. Dat vraagt om een continue balans tussen beheersing, wendbaarheid en verantwoord ondernemerschap in lijn met de maatschappelijke functie. Het risicomanagementproces doorloopt een continue cyclus, waarin we significante risico’s en kansen identificeren en passende, effectieve beheersmaatregelen vaststellen. Dit gebeurt zowel bottom-up vanuit het operationele lijnmanagement, als top-down vanuit het Directieteam. Vastlegging vindt plaats in een overkoepelend risicoregister. Holland Casino baseert de interne beheersing op COSO ERM 2017 en werkt volgens de principes van de Nederlandse Corporate Governance Code 2022.
Het is de verantwoordelijkheid van de tweedelijnsfunctie om beleid op te stellen, waarmee de kaders voor de operatie worden bepaald. Ook faciliteert de tweedelijnsfunctie effectief risicomanagement: met advies, challenges, tooling en risk awareness-campagnes. Verder voert de tweedelijnsfunctie onafhankelijke monitoring uit en rapporteert hierover aan stakeholders. Stakeholders worden geïnformeerd over het actuele risicoprofiel. Hierbij worden ook relevante trends en aandachtspunten besproken, als input voor besluitvorming en prioriteitstelling.
Bovendien hebben we een geïntegreerde tweedelijns risicomanagementfunctie opgezet, die bestaat uit drie teams. Hiermee borgen we enerzijds specifieke tweedelijns expertise op een subset van alle tactische risicodomeinen; anderzijds zorgen we op deze manier voor een geharmoniseerde werkwijze. We creëren zo een overkoepelend en geïntegreerd perspectief op risico’s, vanuit diverse invalshoeken.
Het actuele risicoprofiel per risicodomein wordt afgezet tegen de vastgestelde risicobereidheid (risk appetite). Holland Casino is terughoudend in het nemen van risico’s. In een dynamische omgeving is het echter niet mogelijk ieder risico volledig uit te sluiten. Daarom is de risicobereidheid op alle risicodomeinen vastgesteld op laag.
Door een gedegen risicoanalyse en een optimaal ingericht risicomanagementproces beheerst Holland Casino de onderkende risico’s zo goed als mogelijk. De beheersmaatregelen worden cyclisch geëvalueerd en waar nodig aangepast, om zowel de huidige situatie te verbeteren als de kans op het behalen van strategische doelstellingen te vergroten. Risicomanagement is geïntegreerd in de dagelijkse bedrijfsvoering en wordt door alle lagen van de organisatie actief gedragen.
Three lines of defence
De risk governance binnen Holland Casino volgt de Nederlandse Corporate Governance Code (20 december 2022) die is gebaseerd op het Three Lines of Defence Model. In dit model is de eerste lijn (het management, de operatie en een groot deel van de stafafdelingen) verantwoordelijk voor het inrichten en uitvoeren van processen, inclusief bijbehorende beheersmaatregelen (controls), naleving van relevante wet- en regelgeving en de continue monitoring daarvan op uitvoering en effectiviteit.
De tweede lijn omvat de functies Risk Management & Procesmanagement, Compliance Office en Informatiebeveiliging & Privacy. Om te zorgen voor consistentie en uniformiteit vormen deze tweedelijnsfuncties een gezamenlijke afdeling. De tweedelijnsfuncties faciliteren effectief risicomanagement binnen de eerste lijn door beleid op te stellen op het gebied van risicomanagement en compliance, en door de eerste lijn te faciliteren, adviseren en challengen. Ook monitort en rapporteert de tweedelijnsfunctie over de kwaliteit van risicobeheersing en het actuele risicoprofiel.
Internal Audit vormt op basis van uitgevoerde audits als derde lijn tenslotte een onafhankelijke waarborgfunctie. De derde lijn beoordeelt de effectiviteit van beheersing en de samenwerking tussen de lijnen. Het directieteam is verantwoordelijk voor het vaststellen van de risicobereidheid en neemt besluiten op basis van integrale risicoafwegingen.
In 2025 is de risk governance verder versterkt met de instelling van een Non-Financial Risk Committee (NFRC). Dit committee wordt geleid door de Manager Risk & Compliance en omvat eerste en tweedelijns directieteamvertegenwoordiging, alsmede senior tweedelijns experts. Binnen de NFRC wordt het actuele risicoprofiel van de organisatie besproken op basis van relevante trends en gebeurtenissen. Ook worden acties in gang gezet op basis van risicorespons. Bovendien worden beleidsdocumenten en reglementen besproken, als voorbereiding op besluitvorming door het directieteam.
Risicocultuur
Voor succesvol risicomanagement zijn zowel harde als zachte elementen van belang: processen, procedures en rapportages aan de ene kant en risicobewustzijn, kernwaarden, communicatie en onderling vertrouwen aan de andere kant. Samen vormen deze elementen de risicomanagementorganisatie en cultuur.
In 2025 werd zichtbaar dat het meldbewustzijn en de registratie van incidenten verder is verbeterd en dat incidentmanagement volwassener wordt toegepast. Dit ondersteunt het leervermogen in de hele organisatie en helpt om patronen eerder te signaleren. Holland Casino blijft investeren in risicobewust handelen via verplichte interactieve e-learnings voor medewerkers, zowel op het hoofdkantoor als in de vestigingen.
Organisatie tweedelijnsfunctie
De tweedelijnsafdeling Risk Management en Compliance wordt aangestuurd door de Manager Risk & Compliance en bestaat uit drie teams. In deze teams is specifieke kennis en aandacht over een subset van het gehele risicomanagementspectrum voor zowel de landbased als online omgeving.
1. Compliance Office
Het Compliance Office-team focust zich vanuit een tweedelijnsperspectief op de compliance-gerelateerde risicodomeinen: risico's in verband met naleving van regelgeving, gedragsrisico’s, in- en externe frauderisico’s en juridische risico’s. Het team borgt dat de organisatie integer opereert en voldoet aan wet‑ en regelgeving. Dit doen ze door kaders te stellen, compliance-gerelateerde risico’s te monitoren en het management onafhankelijk te adviseren en challengen. Verder houdt het team contact met de KSA, verzorgt meldingen van ongebruikelijke transacties aan de FIU en coördineert de Systematische Integriteitsrisicoanalyse (SIRA). In 2025 heeft het team een systematiek ontwikkeld om de organisatie te faciliteren bij het identificeren van scenario’s met een te hoog risicoprofiel, beheersmaatregelen vast te stellen en effectief de opvolging te monitoren en registreren.
2. Informatiebeveiliging en Privacy (IB&P)
Het team Informatiebeveiliging en Privacy (IB&P) focust zich vanuit een tweedelijnsperspectief op de IT-gerelateerde risicodomeinen: informatie- en cyberbeveiligingsrisico's, technologische risico’s, AI-risico’s en datarisico’s. Dit team stelt het IT-normenkader vast, identificeert en monitort cyber‑ en privacy-risico's en toetst naleving van onder andere de AVG en ons informatiebeveiligingsbeleid. Het team adviseert en challenget het management op de aantoonbare beheersing van deze risico’s. Ook houdt het team contact met de Autoriteit Persoonsgegevens (AP) in overleg met de Functionaris Gegevensbescherming en faciliteert het de uitvoering van IB- en privacy-gerelateerde risicoanalyses. In 2025 zijn er stappen gezet in het verder structureren van de risicobeheersing (beleidsmatig en organisatorisch) op het gebied van informatiebeveiliging en privacy. Dit deed het team onder andere met een upgrade van de beschrijving van het ISMS en het ontwikkelen van AI-beleid.
3. Risk Management & Procesmanagement
De rol van dit team is drieledig:
Ten eerste focust het team zich vanuit een tweedelijnsperspectief op de operatie-gerelateerde risicodomeinen: personeelsrisico’s, uitvoeringsrisico’s, tegenpartijrisico’s, fysieke beveiligingsrisico’s en bedrijfscontinuïteitsrisico’s.
Ten tweede overziet het team de mate van beheersing van het overkoepelende proceslandschap.
Ten derde definieert dit team de overkoepelende risicomanagementmethodologie met het oog op harmonisatie en structuur.
In 2025 is vooral veel aandacht besteed aan het creëren van de overkoepelende methodiek. Die vormt een belangrijke basis om werkwijzen verder te harmoniseren en om in 2026 de toepassing te verankeren. Op procesniveau lag de focus op het faciliteren van een risico-gebaseerde inrichting van processen en het in kaart brengen van het totale proceslandschap binnen Holland Casino, zowel landbased als online. Dit geeft management en teams beter inzicht in de samenhang van processen, verantwoordelijkheden en overdrachtsmomenten.
Voortgang
In 2023 is gestart met een volledige herbeoordeling van strategische risico’s in lijn met de nieuwe strategie 2024-2028. Hiertoe vond brede afstemming plaats met het directieteam en betrokken managers om te toetsen of de geïdentificeerde risico’s nog steeds actueel en relevant zijn binnen de nieuwe strategische koers. In 2024 en 2025 is deze beoordeling voortgezet en is hierover gerapporteerd.
De strategische risico’s zijn opgenomen in de tabel Strategische risico's per categorie (pagina 99 t/m 101) en met corresponderende cijfers in kaart gebracht in onderstaand strategische model. Dit model biedt inzicht in de risicodekking en maakt het mogelijk om eventuele hiaten op te vullen.
Uit de schematische weergave blijkt dat vrijwel alle domeinen binnen de organisatie worden beïnvloed door strategische risico’s en dat deze risico’s worden gedekt door bijbehorende beheersmaatregelen. Daarbij is niet alleen het domein benoemd, maar ook aangegeven op welke wijze het door risico’s geraakt kan worden.
De monitoring van strategische risico’s vindt plaats op basis van vijf impactgebieden (zie tabel Impactgebieden). Deze impactgebieden zijn ook gekoppeld aan de risicobereidheid.
Impactgebieden
|
Impactgebieden |
Toelichting |
|
Compliance en Integriteit |
Holland Casino doet zijn uiterste best om de veiligheid van gasten en medewerkers te allen tijde te waarborgen. Ook streeft het ernaar aan alle relevante wet- en regelgeving te voldoen. |
|
Reputatie |
Holland Casino bewaakt zijn maatschappelijke rol en gerelateerde zorgtaak (preventiebeleid). Bovendien wil Holland Casino gezien worden als aantrekkelijke kansspelaanbieder, in combinatie met een betrouwbare en veilige spelomgeving. |
|
Dienstverlening |
De gast en de dienstverlening naar de gasten staat centraal bij Holland Casino. Holland Casino is bereid op een verantwoorde manier risico’s te accepteren om een hoogwaardige gastbeleving te creëren. |
|
Innovatief vermogen |
Holland Casino streeft ernaar op een gestructureerde manier gebruik te maken van technologische ontwikkelingen met het oog op optimalisatie van dienstverlening, voldoen aan wet- en regelgeving en efficiency. |
|
Financieel |
Holland Casino heeft een solide financiële positie zonder uitstaande leningen. Derhalve is het bereid op een verantwoorde manier financiële risico’s te accepteren. |
Actuele risicoprofiel
|
Risico |
Relevantie |
Pijler |
Impactgebied |
Risk driver |
Mitigatie |
|---|---|---|---|---|---|
|
1. Niet voldoen aan (aangescherpte) wet- en regelgeving en vergunningsvereisten |
Door aangescherpte wet- en regelgeving en vergunningsvereisten, mogelijke interpretatieverschillen met toezichthouders en operationele uitdagingen (zowel landbased als online), bestaat het gevaar dat Holland Casino mogelijk niet aan alle wettelijke en vergunningsvereisten voldoet, waaronder de verplichting om gasten een veilig en verantwoorde spel omgeving aan te bieden. Dit kan invloed hebben op financiële doelstellingen, gastbeleving en op de reputatie van Holland Casino. In extremis zou dit kunnen leiden tot impact op de verleende vergunning. |
Maatschappij |
Compliance & Integriteit |
(Aangescherpte) wet- en regelgeving en vergunnings-vereisten |
|
|
2. Niet tijdig kunnen voldoen aan ESG criteria |
Met invoering van de CSRD-rapportagerichtlijnen wordt de maatschappelijke bijdrage van Holland Casino in en rondom zijn waardeketen geformaliseerd op gebied van milieu, maatschappij en bestuur (ESG). Door onvoldoende voorbereiding en prioritering bestaat de kans dat in 2028, wanneer gerapporteerd wordt over boekjaar 2027, niet (volledig) kan worden voldaan aan gestelde rapportagenormen en richtlijnen. Dit kan afbreuk doen aan de gewenste positie als ESG koploper binnen de sector, de reputatie van Holland Casino schaden en leiden tot financiële repercussies. |
Maatschappij |
Reputatie |
Verplichte ESG verantwoording |
|
|
3. Negatieve politieke en publieke beeldvorming |
Risico dat Holland Casino dermate hoge reputatieschade oploopt dat het draagvlak bij stakeholders negatief wordt beïnvloed en zo het mandaat wordt verloren om haar bedrijfsactiviteiten aan te bieden. |
Maatschappij |
Reputatie |
Goede informatiepositie, crisisorganisatie en relevant relatienetwerk |
|
|
4. Ongunstige economische ontwikkelingen |
Door negatieve koopkrachtontwikkelingen, voortdurende hoge inflatie, sterk stijgende kosten, en restricties op mogelijkheden om inkomsten te verhogen zou Holland Casino niet (meer) in staat kunnen zijn om een rendabel business model te hanteren. Dit zou de continuïteit van Holland Casino op langere termijn in gevaar kunnen brengen. Holland Casino werkt derhalve continu aan optimalisatie van zijn bedrijfsvoering, alsmede aan uitwerking en uitvoering van een lange termijn strategie. |
Aanbod |
Financieel |
Rentabiliteit bestaande operatie |
|
|
5. Onjuiste propositie binnen de arbeidsmarkt |
Wanneer Holland Casino zijn arbeidsmarktpropositie onvoldoende weet aan te laten sluiten bij hedendaagse arbeidsvoorwaarden en omstandigheden, bestaat het risico dat te weinig (gekwalificeerd) personeel wordt aangetrokken en behouden. Focus punten hierbij zijn heersende cultuur, arbeidsvoorwaarden, opleidings- en doorgroei mogelijkheden, roostering en work- lifebalance. Wanneer dit niet juist aansluit aan behoefte vanuit de markt kan dit leiden tot vermindering van zowel het innovatievermogen, de financiële stabiliteit en onvoldoende naleving van wet- en regelgeving. |
Medewerker |
Reputatie |
Herziene arbeidsmarkt propositie met moderne arbeidsvoorwaarden |
|
|
6. Mismatch gastbehoeften en aanbod |
Kennis van onze (potentiële) gasten en gastsegmenten is cruciaal. Indien het speltechnische- en gastronomische aanbod suboptimaal aansluit bij de gastbehoeften en –wensen, hebben onze gasten geen 9+ ervaring. Dit kan bezoeken doen afnemen en de verdiencapaciteit onder druk zetten. |
Aanbod |
Dienstverlening |
Rendement nieuwe doelgroepen |
|
|
7. Beperkte liquiditeitsruimte voor innovatie |
Door onjuiste allocatie en prioritering van financiële middelen kan de ruimte voor innovatie van processen, productaanbod en dienstverlening naar gasten zodanig worden beperken, dat de gastbeleving ernstig wordt ondermijnd en de verdiencapaciteit onder druk komt te staan. Holland Casino werkt hieraan door prudent financieel beleid te voeren, financiële middelen vrij te blijven maken t.b.v. innovatie en duidelijke investeringskeuzes te maken. |
Go to market |
Innovatief vermogen |
Financiele positie |
|
|
8. Moeizame transitie naar een data-gedreven organisatie |
Het risico bestaat dat de Holland Casino moeizaam een slag kan maken naar een succesvolle data-gedreven organisatie. Dit kan worden veroorzaakt door een zowel kwalitatief als kwantitatief datagebrek, ontoereikende (ondersteunende) middelen en gebrek aan gespecialiseerde vaardigheden. Als dit risico zich materialiseert, kan dit leiden tot gemiste kansen voor efficiëntieverbetering en concurrentievoordeel in de markt. |
Maatschappij |
Innovatief vermogen |
Data gedreven organisatie |
|
Ontwikkelingen in 2026
Als onderdeel van de opzet van de geïntegreerde tweedelijnsafdeling in 2025 is er een gedetailleerde roadmap opgesteld voor de periode 2025-2027. Het doel hiervan is de effectiviteit van de afdeling verder verhogen en de organisatie helpen een beheerste bedrijfsvoering realiseren. In 2026 worden concrete stappen gezet in lijn met de roadmap. Hierin staan vijf onderwerpen centraal.
1. Implementatie van geintegreerde risicomethodologie
In 2026 zal Holland Casino belangrijke stappen zetten in het doorontwikkelen van een overkoepelend risicomanagementraamwerk, waaronder het creëren van een gezamenlijke definitie. Hiervoor ontwikkelen we een uniforme taxonomie voor tactische risicogebieden. Dit raamwerk zal Holland Casino beter ondersteunen om risico-informatie organisatiebreed op een consistente manier te ordenen, vergelijken en prioriteren. Het raamwerk biedt een gemeenschappelijke taal waarmee we het gesprek kunnen voeren tussen de eerste en tweede lijn. Ook draagt dit raamwerk bij aan een duidelijker en herleidbaar risicobeeld over processen, systemen, afdelingen en locaties heen.
2. Verhoging aantoonbare risicobeheersing van bedrijfsprocessen
In 2026 wordt per bedrijfsproces - op basis van risicoprofiel en strategisch belang - planmatig toegewerkt naar aantoonbare beheersing binnen het totale risicolandschap. Dit doen we door per bedrijfsproces en -systeem een meetbare link te leggen tussen de voornaamste risico’s en de maatregelen die deze risico’s beheersen. Op basis hiervan wordt een risicobeheercyclus (PDCA) uitgerold en gefaciliteerd. Deze stelt de eerstelijnsprocesverantwoordelijken in staat het risicoprofiel van hun proces vast te stellen en waar nodig te verbeteren. Het tweedelijnsteams valideert dit vervolgens en rapporteert hierover.
3. Implementatie Governance, Risk & Compliance (GRC) Tool
Een belangrijke ontwikkeling in 2026 wordt de implementatie van een geïntegreerde GRC Tool. Deze tool zal een aantal andere systemen vervangen en Holland Casino ondersteunen door risico’s, compliance‑verplichtingen en beheersmaatregelen centraal en consistent vast te leggen. Dit zorgt voor overzicht en samenhang.
De tool verhoogt de mogelijkheid tot sturing en toezicht door real‑time inzicht, eenduidige rapportages en duidelijke eigenaarschap in de ‘three lines’. Daarnaast verhoogt de tool de efficiëntie en aantoonbaarheid richting toezichthouders door minder handwerk en betere herleidbaarheid.
4. Verbeterde risicorapportages
Verder zullen we in 2026 stappen zetten in het op basis van tweedelijnsmonitoring gerichter en betrouwbaarder kunnen rapporteren over het risicoprofiel per risicodomein. Per risicodomein gaan we onder andere Key Risk Indicators (KRI’s) ontwikkelen, implementeren en opnemen in rapportages. Zo worden risicotrends en de effectiviteit van beheersing beter meetbaar. Daarnaast gaan we (onder meer) rapporteren per risicodomein, waardoor incidenten niet alleen als losstaand worden beschouwd, maar ook bijdragen aan inzicht in trends binnen een risicodomein.
5. Focus op ketenmanagement
In 2026 gaan we binnen risicomanagement verscherpte aandacht geven aan effectief ketenmanagement. Ketenmanagement met externe partijen is belangrijk, aangezien een groot deel van de operationele continuïteit, compliance en reputatie van de organisatie afhankelijk is van leveranciers en partners buiten de eigen directe controle. Dankzij actief ketenmanagement kunnen we risico’s als uitval, datalekken, non‑compliance en kwaliteitsproblemen tijdig identificeren en beheersen. Zo kunnen we ook duidelijk eigenaarschap en samenwerking inrichten.
Het realiseren van de doelen op deze aandachtsgebieden ondersteunt het management en de directie verder bij het prioriteren van verbetermaatregelen, het gericht inzetten van capaciteit en het versterken van aantoonbare beheersing. Daarmee draagt het risicodomeinmodel bij aan het beter ‘in control’ zijn. Daardoor kunnen we waar nodig tijdig bijsturen en kunnen we strategische en operationele doelstellingen realiseren.